英特尔承认芯片设计漏洞 安全风险不容小觑

尚未爆发系统性风险

具体而言，这次的漏洞分成两类，分别命名为Meltdown与Spectre，利用了芯片处理器的“乱序执行”机能与“分支预测”机能，让恶意代码得以从CPU当中偷取本应受保护的资料。

这两个漏洞由谷歌的Jann Horn和第三方研究人员同时发现。与英特尔处理器和Arm相关的漏洞Meltdown是两者当中相对比较容易被利用的一个，因此严重性也要大得多。正常来说，每一个进程都是独立的，不应该看到其他进程的资料。但安全专家发现，因为“乱序执行”在处理资料时将所有进程混在一起，因此用特别编写的代码，是可以指定位置窃取其他进程的资料的。

利用Spectre进行网络攻击的难度较高，它的原理是通过操作处理器的“分支预测”机能，欺骗受害进程将指定位置的资料放出来。但这个漏洞可能令英特尔处理器、AMD和ARM都中招，因此破坏范围更广。

通过这些漏洞，黑客有可能对电脑发起攻击，并窃取存储在个人计算机以及数据中的信息，包括那些存储在云端的信息。除了窃取密码或者缓存文件以外，黑客还有可能利用这些漏洞来削弱其它安全性能。

虽然目前还没有利用这两个漏洞的案例发生，尚未爆发计算机系统性的风险，但是由于芯片漏洞对全球所有的计算机设备都可能造成影响，范围之广仍然引起了人们的高度警觉。几乎所有的PC和数据中心的芯片全是由英特尔和AMD所提供的，而ARM芯片则用于大多数的智能手机。

目前英特尔和其它公司已经在针对这些漏洞寻求最新的解决方案。为了避免个人电脑或者手机受到攻击，用户应该将系统软件更新至最新版本，比如微软的Windows系统和苹果的iOS系统。

微软、亚马逊和谷歌等公司也在为其数据中心安装补丁，并更新了云服务。微软发表声明称：“我们已经关注到了这一行业性的问题，并在与芯片生产商共同研究方案和测试，来保护用户的数据安全。”

亚马逊在一份发给亚马逊云AWS用户的声明中说道：“这一漏洞伴随着英特尔、AMD和Arm的现代芯片处理器架构已经存在了超过20年，应用于所有的服务器、桌面和移动设备。”不过亚马逊表示已经把所有操作系统的补丁都打上了。

从长远来看，所有未来推出的处理器都需要从硬件上修正这两个漏洞。但目前来说，只能依靠给软件打补丁的方式来弥补，专家预测，打完补丁后可能会大幅影响市面上处理器的性能，影响程度最多高达30%。

上海交通大学网络信息中心副主任姜开达对第一财经记者表示：“芯片的漏洞确实产生了一定的影响，但好在现在各个操作系统的补丁都陆续出来了，因此对个人用户的影响有限。不过对于企业用户而言，打补丁后一些应用的性能可能出现下降。”

IEEE中国计算机学会高级会员、上海大学通信与信息工程学院教授王潮对第一财经记者表示：“互联网协议、芯片、操作系统的安全风险已经变得非常频繁，目前各类互联网业务的隐私保护才是需要真正引起重视的。”

(记者来莎莎对此文亦有贡献)